v/spesialrådgiver Einar J. Lyford - Finanstilsynet
v/spesialrådgiver Einar J. Lyford - Finanstilsynet
v/spesialrådgiver Einar J. Lyford - Finanstilsynet
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Systemer for betalingstjenester<br />
Utfordringer innen Styring og Kontroll, Operationell<br />
Risiko og Organisatorisk Kompleksitet<br />
<strong>Einar</strong> J. <strong>Lyford</strong>, <strong>Finanstilsynet</strong><br />
Oslo 3. mai 2012
Bankers 3 strategiske dimensjoner<br />
- Markeder<br />
- Selge til kunder<br />
Kundenettverk<br />
Renommé<br />
Side 2<br />
Inntektsmulighet<br />
Tjenester<br />
- Systemer og Applikasjoner<br />
Kostnads<br />
Base<br />
Nødvendig<br />
menneskelig og<br />
teknisk<br />
infrastruktur<br />
for å støtte og levere<br />
betalingstjenester<br />
til kunder
K<br />
System for betalingstjenester -<br />
Enkelt konsept, men komplisert operasjon<br />
Side 3<br />
Bankens Balanse<br />
Betalinger Betalinger<br />
Aktiva Passiva/EK<br />
K Betalinger K<br />
K
Betalingssystem i to-sidige markeder<br />
KUNDE<br />
A<br />
Side 4<br />
Betalingssystem<br />
Banker formidler nettverkstjenester i en transaksjonskjede<br />
KUNDE A<br />
Elektr. bankkanal<br />
Bank<br />
A<br />
Interface<br />
Betalings<br />
Avregning &<br />
Oppgjør<br />
Interface<br />
Bank<br />
B<br />
1. Betalingssystemene formidler enkle betalinger eller massebetalinger -<br />
betalingstjenester.<br />
2. Betalingstjenester er kontopenger (digitalisert informasjon) i bevegelse<br />
3. Utbredelsen av elektroniske betalingstjenester har nådd «point of no return»<br />
4. Betalingssystemenes aktører er komplimentære, sømløse og automatiserte<br />
5. Betalingssystemene behandler digitalisert informasjon basert på IT-systemer<br />
6. IT- systemene og IT-infrastruktur må styres og kontrolleres – «ROS»<br />
7. Betalingssystemene skal fungere i nettverk hvor operasjonell risiko er kritisk - EK<br />
KUNDE B<br />
Elektr. bankkanal<br />
KUNDE<br />
B
Betalingssystemer – teknologisk infrastruktur<br />
Side 5<br />
KUNDE A<br />
Hvem eier eller kan<br />
kontrollere hele<br />
den teknologiske<br />
infrastruktur ?<br />
Lover, forskrifter,<br />
selvregulering.<br />
Betalingssystemer<br />
Elektroniske Betalingstjenester<br />
Digitalisert Informasjon<br />
Teknologisk<br />
Infrastruktur<br />
Applikasjoner– Tjenester<br />
Sameksistens/Standarder<br />
Internett /Privatnett<br />
Bredbånds nettverk<br />
KUNDE B
The Networked Readiness Index 2012<br />
- Rank Country Score<br />
Kilde: INSEAD<br />
• 1 Sverige 5.94<br />
• 2 Singapore 5.86<br />
• 3 Finland 5.81<br />
• 4 Danmark 5.70<br />
• 5 Sveits 5.61<br />
• 6 Nederland 5.60<br />
• 7 Norge 5.59<br />
• 8 USA 5.56<br />
• 9 Canada 5.51<br />
• 10 UK 5.50<br />
Side 6
Side 7<br />
Aksjonærene<br />
Overvåking<br />
Strategi<br />
Kompetanse Finans<br />
Styring og kontroll av foretaket<br />
Finansiell styrings- og<br />
kontrollsystemer<br />
(budsjetter - rapporter)<br />
Styre<br />
Administrativ ledelse<br />
Fysiske<br />
Aktiva<br />
Nøkkel faktorer<br />
Nøkkel faktor<br />
ledelse<br />
Andre<br />
interessenter<br />
Åpenhet<br />
HR IT Ressurser<br />
Ønsket adferd<br />
Mekanismer for styring<br />
og kontroll av IT<br />
(ROS analyser, testing)<br />
Betalingstjenester
Styring og kontroll av foretaket<br />
• Styring og kontroll eksisterer i alle foretak, men innholdet og<br />
omfanget er ikke alltid forstått<br />
• Effektiv styring og kontroll er flerdimensjonal, objektiv og finnes<br />
for det meste i lønnsomme og godt drevne selskap.<br />
• To dimensjonale organisasjons kart hindrer flerdimensjonal<br />
holistisk oversikt og øker organisatorisk kompleksitet.<br />
• Interne budsjetter er ofte ikke koordinert med intensjonen om<br />
effektiv styring og kontroll.<br />
• Kompensasjons policy må være konsistent med en effektiv<br />
styring og kontroll.<br />
• Foretak uten intern åpenhet og klarhet skaper kompleksitet.<br />
• Utøves gjennom lover, forskrifter og selvregulering.<br />
Side 8
Styring og kontroll med IT<br />
• Kompleksitet øker med bruk av gamle IT systemer som skal sys<br />
sammen med nye forretningsapplikasjoner (i.e. utkontraktering,<br />
kjøp av «pakker»).<br />
• IT driftspraksis, kultur og lederskap vil påvirke graden av<br />
effektiv styring og kontroll.<br />
• En SLA har bare verdi når definerte IT leveranser fører til lavere<br />
kostnader, bedre utnyttelse av IT ressurser og øk.resultater.<br />
• IT kostnaders faste struktur og behovet for å omdanne disse til<br />
interne variable «produkt»kostnader kompliserer forholdet<br />
mellom forretningsenheter og IT.<br />
• IT er kostnadsdrevet, men må oppfattes som en strategisk<br />
kjerne innen nettverksforetak.<br />
Side 9
Organisatorisk kompleksitet<br />
• Organisasjoner er en funksjon av komplekse<br />
relasjonsprosesser mellom aktører innen organisasjonen –<br />
mennesker og IT systemer.<br />
• Endringer innen eller mellom disse aktørene oppstår ofte<br />
uforutsett og er ikke basert på noen forutbestemt plan.<br />
• Medarbeidere og IT systemer etablererer lokale kulturer og<br />
maktutøvelse basert på ideologi og markert kompetanse.<br />
• Planlegging må fokusere på usikkerhet i stedet for sikkerhet.<br />
• Planlegging på usikkerhet medfører endring i hvordan ledelse<br />
utøves - kultur og tenkemåte.<br />
Side 10
Betalingstjenester –<br />
Konseptuell og operasjonell forståelse.<br />
Side 11
Applikasjoner og tjenester<br />
• Konflikt mellom kreativitet i tjenesteutvikling og disiplin til den<br />
eksisterende IT arkitektur.<br />
• Applikasjons utvikling må forholde seg til IT arkitektur<br />
• Utvikling av applikasjoner og tjenester skal understøtte<br />
strategiske forretningsmål.<br />
• Utfordringer ved kjøp og implementering av IT/produkt<br />
pakker.<br />
• Testing, testing, testing og testing av nye applikasjoner.<br />
• Avstemme konseptuelle and operasjonelle krav<br />
Side 12
Operasjonell risiko i nettverkssystemer for<br />
betalingstjenester<br />
• «Risiko for tap grunnet ufullstendige eller ikke fungerende<br />
interne prosesser, mennesker og systemer eller eksterne<br />
faktorer».<br />
• Operasjonell risiko forårsakes hovedsakelig av interne<br />
elementer og aktører.<br />
• Trend: Økende risiko relatert til noen eksterne faktorer –<br />
utkontraktering, systemleverandører, kriminelle angrep, etc.<br />
• BASEL II krever EK dekning<br />
Side 13
Kriminelle angrep<br />
• ID tyverier<br />
• «Card not present» – internett handel<br />
• Phishing<br />
• Skimming<br />
• Pharming<br />
• Trojanere<br />
• MITMA<br />
• DDOS - Botnet<br />
• Utro interne tjenere (ansatte)<br />
Side 14
Takk for oppmerksomheten!<br />
FINANSTILSYNET<br />
Revierstredet 3<br />
Postboks 1187 Sentrum<br />
0107 Oslo<br />
www.finanstilsynet.no<br />
einar.lyford@finanstilsynet.no